Política de privacidad
Versión 2.1 | Vigente a partir del 15 de mayo de 2026 | La versión actual siempre está disponible en https://Perspectis.AI/privacy
Este Acuerdo de Procesamiento de Datos («APD») es publicado por Perspectis AI, Inc. en Perspectis.AI y se incorpora por referencia al Acuerdo de Servicios SaaS (o acuerdo marco equivalente) suscrito entre el Proveedor de Servicios y el Cliente (el «Acuerdo Principal»). Este APD se incorpora al Acuerdo Principal por referencia. Se aplicará la versión vigente a la fecha de entrada en vigor del Acuerdo Principal, sujeta a las actualizaciones realizadas de conformidad con la Cláusula 16.6.
En caso de conflicto entre este Acuerdo de Protección de Datos y el Acuerdo Principal con respecto al tratamiento de datos personales, prevalecerá este Acuerdo de Protección de Datos.
Enfoque. Este Acuerdo de Protección de Datos (APD) establece un estándar único y exigente que cumple con los requisitos aplicables más rigurosos en todas las jurisdicciones donde operan las partes, incluyendo el Reino Unido (RGPD del Reino Unido / APD de 2018), el Espacio Económico Europeo (RGPD de la UE), Canadá (PIPEDA y Ley 25 de Quebec) y Estados Unidos (CCPA/CPRA y leyes estatales aplicables). Cuando se requiere legalmente un mecanismo específico, como cláusulas contractuales estándar para transferencias internacionales, este se aborda en la Cláusula 8. En todos los demás aspectos, se aplica una única obligación independientemente de la jurisdicción involucrada.
Privilegio profesional. Los datos del cliente pueden contener información sujeta al privilegio profesional, al secreto profesional entre abogado y cliente o al privilegio de confidencialidad entre abogado y cliente. Las obligaciones reforzadas del proveedor de servicios con respecto a dicha información se establecen en la cláusula 12.
Definiciones
En este DPA:
Por “datos anonimizados” se entienden los datos que han sido desidentificados de forma irreversible, de manera que ninguna persona pueda ser identificada razonablemente a partir de ellos, ya sea individualmente o en combinación con otra información, de conformidad con las normas de la legislación de privacidad aplicable.
Por «Ley de Protección de Datos Aplicable» se entienden todas las leyes de privacidad y protección de datos aplicables al Tratamiento de Datos Personales en virtud del presente Acuerdo de Protección de Datos, incluidas (sin limitación): el RGPD del Reino Unido y la Ley de Protección de Datos de 2018; el RGPD de la UE (Reglamento (UE) 2016/679); la Ley de Protección de la Información Personal y Documentos Electrónicos de Canadá (PIPEDA) y sus equivalentes provinciales aplicables, incluida la Ley 25 de Quebec; y la Ley de Privacidad del Consumidor de California / Ley de Derechos de Privacidad de California (CCPA/CPRA) y otras leyes de privacidad estatales de EE. UU. aplicables. Cuando dos o más leyes impongan estándares diferentes para la misma obligación, el Proveedor de Servicios deberá cumplir con el estándar más exigente.
“Datos del Cliente” tiene el significado que se le atribuye en el Acuerdo Principal e incluye todos los Datos Personales que contiene.
«Individual» se refiere a cualquier persona física cuyos datos personales se traten en virtud del presente Acuerdo de Protección de Datos. Los términos «Interesado», «Consumidor» e «Individual» se utilizan indistintamente.
Por «datos personales» se entiende cualquier información relativa a una persona física identificada o identificable, según se define en la legislación aplicable en materia de protección de datos en la jurisdicción correspondiente. Los términos «datos personales» e «información personal» se utilizan indistintamente.
Por “violación de datos personales” se entiende cualquier fallo de seguridad que dé lugar a la destrucción, pérdida, alteración, divulgación no autorizada o acceso no autorizado a datos personales, ya sea de forma accidental o ilícita.
“Responsable de Privacidad” se refiere a la persona designada por el Proveedor de Servicios para supervisar el cumplimiento de la Ley de Protección de Datos aplicable.
El término «tratamiento» (y términos afines) tiene el significado que se le atribuye en la legislación aplicable en materia de protección de datos.
Por “Transferencia Restringida” se entiende cualquier transferencia de Datos Personales a un país que no cuente con una decisión de adecuación o una resolución equivalente en virtud de la Ley de Protección de Datos aplicable.
«CCT» se refiere a las cláusulas contractuales tipo de la UE para la transferencia de datos personales a terceros países (Decisión 2021/914/UE de la Comisión).
Por «datos personales sensibles» se entienden las categorías especiales de datos personales según el RGPD del Reino Unido/RGPD de la UE; la información personal sensible según la CCPA/CPRA; y las categorías equivalentes según otras leyes de protección de datos aplicables.
“Subencargado del tratamiento” se refiere a cualquier tercero contratado por el Proveedor de servicios para procesar Datos Personales en nombre del Cliente.
“Lista de subprocesadores” significa la lista actual de subprocesadores aprobados que mantiene el Proveedor de servicios en su sitio web, actualizada periódicamente de conformidad con la Cláusula 7.
“TOMs” se refiere a las Medidas Técnicas y Organizativas establecidas en el Anexo 2.
«UK IDTA» se refiere al Acuerdo de Transferencia Internacional de Datos del Reino Unido emitido por la ICO en virtud del artículo 119A de la Ley de Protección de Datos de 2018.
Funciones y nombramientos
El Cliente es el Responsable del Tratamiento (o su equivalente según la Ley de Protección de Datos aplicable); el Proveedor de Servicios es el Encargado del Tratamiento o el Proveedor de Servicios (o su equivalente). El Proveedor de Servicios tratará los Datos Personales únicamente siguiendo las instrucciones documentadas del Cliente.
Para los fines de la CCPA/CPRA, el Proveedor de Servicios actúa como un Proveedor de Servicios (no como un Tercero o Empresa) y certifica que: (a) no venderá ni compartirá Datos Personales; (b) no utilizará Datos Personales para ningún otro propósito que no sea la prestación de los Servicios; (c) no combinará los Datos Personales recibidos en virtud de este DPA con datos personales de otras fuentes, excepto según lo permita la ley aplicable; y (d) comprende y cumplirá con estas restricciones.
El Proveedor de Servicios deberá notificar de inmediato al Cliente si, a su juicio razonable, alguna instrucción infringiría la Ley de Protección de Datos aplicable.
Obligaciones del cliente
El Cliente garantiza que tiene, y mantendrá en todo momento, una base legal conforme a la Ley de Protección de Datos aplicable para cada categoría de Datos Personales enviados a la Plataforma, incluyendo (cuando sea necesario) el consentimiento válido, una evaluación de interés legítimo u otro fundamento legal aplicable.
El Cliente es el único responsable de la exactitud, calidad y legalidad de todos los Datos Personales enviados a la Plataforma y de la legalidad de todas las instrucciones de procesamiento dadas al Proveedor de Servicios. El Proveedor de Servicios no está obligado a verificar de forma independiente la legalidad de las instrucciones del Cliente, pero deberá cumplir con su obligación de notificación según la Cláusula 2.3.
El Cliente no deberá enviar Datos Personales Sensibles a la Plataforma sin previo aviso por escrito al Proveedor de Servicios y sin acordar las medidas de seguridad adicionales adecuadas. En ausencia de dicho aviso y acuerdo, el Proveedor de Servicios no tendrá ninguna responsabilidad respecto de los Datos Personales Sensibles enviados a la Plataforma.
El Cliente deberá mantener sus propios avisos de privacidad, registros de actividades de procesamiento y procesos de derechos individuales, según lo exija la Ley de Protección de Datos aplicable. El Cliente reconoce que las obligaciones del Proveedor de Servicios en virtud del presente Acuerdo de Protección de Datos se limitan a proporcionar asistencia técnica razonable y no se extienden al cumplimiento de las obligaciones de cumplimiento del Cliente como Responsable del Tratamiento.
El Cliente indemnizará y mantendrá indemne al Proveedor de Servicios frente a cualquier pérdida, reclamación, daño, responsabilidad, multa, sanción, coste y gasto (incluidos los honorarios legales razonables) que surjan de o en relación con: (a) el incumplimiento por parte del Cliente de sus obligaciones como Controlador en virtud de la Ley de Protección de Datos Aplicable; (b) el incumplimiento por parte del Cliente de las garantías de esta Cláusula 3; o (c) cualquier instrucción de procesamiento dada por el Cliente que infrinja la Ley de Protección de Datos Aplicable, siempre que el Proveedor de Servicios haya cumplido con su obligación de notificación en virtud de la Cláusula 2.3 con respecto a la instrucción pertinente.
Instrucciones de procesamiento y confidencialidad
El Proveedor de Servicios procesará los Datos Personales únicamente siguiendo las instrucciones documentadas del Cliente, tal como se establece en este Acuerdo de Protección de Datos, el Acuerdo Principal, los Formularios de Pedido y cualquier otra instrucción escrita.
La configuración de la Plataforma por parte del Cliente —incluidas la activación de funciones, la configuración de retención, los permisos de usuario, la selección de residencia de datos, la habilitación de funciones de IA y la configuración de integración— constituye instrucciones documentadas para los fines de este Acuerdo de Protección de Datos. El Proveedor de Servicios no estará obligado a obtener instrucciones escritas por separado para cada actividad de procesamiento que sea una consecuencia natural del uso de la Plataforma por parte del Cliente de acuerdo con su configuración.
El proveedor de servicios deberá garantizar que el personal autorizado para procesar datos personales esté sujeto a las obligaciones de confidencialidad adecuadas y haya recibido formación sobre sus obligaciones en materia de protección de datos.
El acceso a los Datos Personales se limitará al personal que los necesite para prestar los Servicios, en función del principio de mínimo privilegio.
El Proveedor de Servicios no divulgará Datos Personales a terceros (incluidas las fuerzas del orden o las autoridades gubernamentales) sin el consentimiento previo por escrito del Cliente, salvo que lo exija la ley. En caso de que la divulgación sea legalmente obligatoria, el Proveedor de Servicios deberá (en la medida en que lo permita) notificar al Cliente con antelación y cooperar con las medidas de protección razonables.
El Proveedor de Servicios deberá designar un Responsable de Privacidad y un contacto para la protección de datos (cuando sea necesario), y deberá notificar al Cliente sus datos de contacto si este lo solicita.
Derechos individuales
El Proveedor de Servicios reconoce que las Personas pueden tener derechos en virtud de la Ley de Protección de Datos Aplicable, incluidos los derechos de: acceso; rectificación o corrección; supresión o eliminación; restricción o exclusión del procesamiento; portabilidad de datos; oposición; exclusión de la venta o el intercambio; limitación del uso de Datos Personales Sensibles; y el derecho a no ser objeto de decisiones exclusivamente automatizadas con efectos significativos.
El Proveedor de Servicios deberá notificar al Cliente dentro de los 3 días hábiles siguientes a la recepción de cualquier solicitud de derechos directamente de un Individuo y no deberá responder directamente sin la autorización del Cliente.
El Proveedor de Servicios deberá brindar la asistencia técnica (funciones de búsqueda, exportación, eliminación y corrección) que el Cliente requiera razonablemente para responder a cualquier solicitud de derechos individuales dentro del plazo legal aplicable. El plazo de respuesta previsto es de 30 días a partir de la recepción de la solicitud verificada.
El proveedor de servicios no discriminará a ninguna persona por ejercer sus derechos en virtud de la legislación aplicable en materia de protección de datos.
Seguridad
El Proveedor de Servicios deberá implementar y mantener los TOM establecidos en el Anexo 2, diseñados para cumplir con los requisitos de la Ley de Protección de Datos Aplicable (incluido el estándar de seguridad razonable según la CCPA/CPRA, el Artículo 32 del RGPD del Reino Unido/UE y el Principio 7 de PIPEDA).
El proveedor de servicios deberá probar, evaluar y valorar periódicamente la eficacia de los TOM y actualizarlos según sea necesario, teniendo en cuenta el estado de la técnica, los costes y la naturaleza del procesamiento.
El Proveedor de Servicios deberá notificar al Cliente de inmediato sobre cualquier vulnerabilidad real o sospechada que pueda comprometer la seguridad de los Datos Personales, y deberá tomar medidas correctivas inmediatas.
Subprocesadores
El Cliente otorga autorización general para contratar a los Subencargados del Tratamiento enumerados en el Anexo 3. El Proveedor de Servicios mantiene una lista actualizada de Subencargados del Tratamiento aprobados en su sitio web (la “Lista de Subencargados del Tratamiento”), junto con detalles del tratamiento realizado por cada uno.
El proveedor de servicios publicará en su sitio web, antes de que la designación o el cambio entren en vigor, un aviso sobre cualquier nombramiento propuesto de un nuevo subencargado del tratamiento o sobre cualquier cambio sustancial en las actividades de un subencargado del tratamiento ya existente. Los clientes que se suscriban a las notificaciones de actualización de subencargados del tratamiento (enviando un correo electrónico a [NUEVA DIRECCIÓN DE CORREO ELECTRÓNICO DE DPA]) recibirán un aviso de cada publicación de este tipo.
Si las partes no logran resolver la objeción en un plazo de 30 días, el Proveedor de Servicios hará todo lo posible por ofrecer una configuración alternativa de los Servicios afectados que no incluya al Subprocesador objeto de la objeción. Si no existe una configuración alternativa razonablemente disponible y el Subprocesador objeto de la objeción es esencial para la funcionalidad principal de los Servicios, tal como se describe en el Formulario de Pedido correspondiente, el Cliente podrá rescindir dicho Formulario de Pedido sin penalización alguna mediante notificación por escrito con 30 días de antelación. Para mayor claridad, un Subprocesador solo se considerará esencial para la funcionalidad principal cuando su eliminación impida el funcionamiento de las características esenciales descritas en el Formulario de Pedido correspondiente.
El Proveedor de Servicios deberá imponer a cada Subencargado del Tratamiento, mediante contrato escrito, obligaciones de protección de datos equivalentes a las establecidas en este Acuerdo de Protección de Datos, incluidas las obligaciones que cumplan con la Ley de Protección de Datos aplicable en cada jurisdicción donde se traten Datos Personales.
El Proveedor de Servicios sigue siendo plenamente responsable ante el Cliente por los actos y omisiones de sus Subprocesadores como si fueran propios del Proveedor de Servicios.
Transferencias internacionales
Obligación principal. Las partes contarán con un mecanismo de transferencia adecuado para cualquier transferencia restringida antes de que esta se produzca. Por «mecanismo de transferencia» se entienden las cláusulas contractuales estándar, la Ley de Transferencia de Datos del Reino Unido (UK IDTA), una decisión de adecuación o cualquier otro mecanismo que permita la transferencia de conformidad con la legislación aplicable en materia de protección de datos.
Transferencias del EEE. En caso de cualquier transferencia restringida del EEE en la que los datos personales del cliente se transfieran del cliente como responsable del tratamiento al proveedor de servicios como encargado del tratamiento, las partes cumplirán con las Cláusulas Contractuales Tipo (CCT) de la UE (Módulo 2, Responsable del tratamiento a Encargado del tratamiento, Decisión de la Comisión 2021/914), que se incorporan al presente Acuerdo de Protección de Datos por referencia y se activan automáticamente al producirse dicha transferencia. Las selecciones de las partes para las disposiciones opcionales son: la cláusula 7 (cláusula de acoplamiento) se aplica; la cláusula 9(a) Opción 2 (autorización general por escrito) se aplica con un plazo de notificación de 30 días de conformidad con la cláusula de subencargados del tratamiento del presente Acuerdo de Protección de Datos; el mecanismo de recurso opcional de la cláusula 11(a) no se aplica.
Transferencias en el Reino Unido. En caso de cualquier transferencia restringida en el Reino Unido, las partes deberán cumplir con el Acuerdo de Transferencia de Datos Personales (IDTA) del Reino Unido, que incorpora las Cláusulas Contractuales Tipo (SCC) de la UE con el Anexo del Reino Unido (emitido por la Oficina del Comisionado de Información del Reino Unido) conforme al artículo 119A de la Ley de Protección de Datos de 2018). Estos acuerdos se incorporan al presente Acuerdo de Protección de Datos (DPA) por referencia y se activan automáticamente al producirse dicha transferencia. Los datos de las partes y las descripciones del tratamiento de datos a efectos del IDTA del Reino Unido se establecen en el Acuerdo Principal y en el Anexo 1 del presente DPA, respectivamente.
Ubicaciones de procesamiento seleccionadas por el cliente. Por defecto, todo el procesamiento se realiza dentro de la jurisdicción seleccionada por el cliente en el formulario de pedido. Si el cliente activa una función o selecciona un modelo que requiere procesamiento en una jurisdicción diferente, su selección expresa constituye una instrucción documentada para la transferencia y una confirmación de la ubicación de procesamiento. El proveedor de servicios deberá informar al cliente sobre la jurisdicción de procesamiento al momento de seleccionar la función o el modelo. El proveedor de servicios deberá garantizar que el mecanismo de transferencia aplicable esté implementado antes de que se realice dicha transferencia.
Transferencias entre subencargados del tratamiento. Cuando el Proveedor de Servicios contrate a un subencargado del tratamiento que requiera una transferencia transfronteriza, deberá asegurarse de que el Mecanismo de Transferencia aplicable esté vigente entre el Proveedor de Servicios y dicho subencargado antes de que se produzca la transferencia. Para las transferencias entre encargados del tratamiento del EEE, se aplicarán las Cláusulas Contractuales Tipo de la UE (Módulo 3). Para las transferencias entre encargados del tratamiento del Reino Unido, se aplicará el módulo correspondiente del Anexo del Reino Unido.
Canadá. Las transferencias de datos personales sujetas a la PIPEDA o a la Ley 25 de Quebec estarán sujetas a protecciones contractuales que garanticen un nivel de protección comparable al exigido por la legislación canadiense, de conformidad con el artículo 10.3 de la PIPEDA. No se requiere ningún mecanismo de transferencia transfronteriza cuando Canadá sea tanto la jurisdicción de origen como la de destino.
Estados Unidos. No se requiere ningún mecanismo de transferencia transfronteriza para el procesamiento que se origina y permanece dentro de los Estados Unidos. La designación de Proveedor de Servicios de la CCPA en la Cláusula 2 se aplica a todo el procesamiento nacional en los EE. UU.
Actualización automática. Cuando una autoridad competente actualice, modifique o reemplace cualquier Mecanismo de Transferencia, el mecanismo actualizado sustituirá automáticamente al anterior conforme a este Acuerdo de Protección de Datos a partir de la fecha en que el Proveedor de Servicios notifique al Cliente, y será vinculante para las partes desde la fecha especificada en dicha notificación. El Proveedor de Servicios deberá emitir dicha notificación sin demora indebida tras la publicación del mecanismo actualizado.
Detalles del tratamiento a efectos de las CCT. La información requerida por el Anexo I de las CCT de la UE (lista de partes y descripción de la transferencia) se detalla a continuación: los datos del exportador de datos son los identificados en el Acuerdo Principal y el Formulario de Pedido; los datos del importador de datos son los que figuran en el encabezado del presente Acuerdo de Protección de Datos (APD); la descripción de las actividades de tratamiento y las categorías de datos personales son las que figuran en el Anexo I del presente APD. Las medidas técnicas y organizativas a efectos del Anexo II de las CCT de la UE son las que figuran en el Anexo 2 del presente APD.
Incidentes de seguridad y notificación de violaciones de seguridad
El Proveedor de Servicios deberá notificar al Cliente sin demora indebida y, en cualquier caso, dentro de las 24 horas siguientes a tener conocimiento de una violación de datos personales confirmada o razonablemente sospechada. La notificación se realizará al contacto designado por el Cliente e incluirá toda la información disponible que el Cliente requiera para cumplir con sus propias obligaciones de notificación conforme a la Ley de Protección de Datos aplicable.
El proveedor de servicios deberá proporcionar al cliente un informe escrito del incidente dentro de los 30 días posteriores a su contención, que incluya: la causa raíz; las categorías de datos y los volúmenes estimados afectados; las medidas correctivas tomadas y planificadas; y cualquier cambio en los TOM.
El proveedor de servicios deberá mantener un registro de todos los incidentes de seguridad (incluidos aquellos que estén por debajo de los umbrales de notificación) y ponerlo a disposición del cliente cuando este lo solicite.
La notificación de un incumplimiento no constituye una admisión de culpa o responsabilidad por parte de ninguna de las partes.
Evaluaciones de impacto en la privacidad
El Proveedor de Servicios deberá brindar al Cliente la asistencia razonable para llevar a cabo cualquier evaluación de impacto en la privacidad o evaluación de impacto en la protección de datos requerida por la Ley de Protección de Datos Aplicable, incluidas descripciones de las actividades de procesamiento, los Términos de Operación, los detalles del subprocesador y otra información relevante.
Cuando el Proveedor de Servicios introduzca algún sistema, tecnología o servicio nuevo que implique el Tratamiento de Datos Personales, el Proveedor de Servicios deberá realizar su propia evaluación de impacto en la privacidad y proporcionar un resumen al Cliente si este lo solicita.
El Proveedor de Servicios prestará asistencia al Cliente en cualquier consulta previa necesaria con una autoridad de supervisión o una autoridad de protección de datos.
Derechos de auditoría
El proveedor de servicios deberá facilitar toda la información razonablemente necesaria para demostrar el cumplimiento de este Acuerdo de Protección de Datos y de la Ley de Protección de Datos aplicable.
No más de una vez por año calendario (a falta de motivos razonables para sospechar un incumplimiento material), y con un aviso por escrito de 30 días, el Cliente puede: (a) exigir al Proveedor de servicios que complete un cuestionario de cumplimiento por escrito; o (b) a cargo del Cliente, realizar o encargar una auditoría independiente de las actividades de procesamiento y los TOM del Proveedor de servicios.
El proveedor de servicios podrá cumplir con su obligación de auditoría proporcionando informes de auditoría de terceros actualizados (certificado SOC 2 Tipo II, ISO 27001 o equivalente) cuando dichos informes sean suficientes para demostrar el cumplimiento de la obligación pertinente.
Privilegio profesional de abogado
El Proveedor de Servicios reconoce que los Datos del Cliente pueden incluir información sujeta al secreto profesional, al secreto profesional entre abogado y cliente o al secreto profesional entre abogado y cliente (en conjunto, “Material Privilegiado”).
En relación con el Material Privilegiado, el Proveedor de Servicios deberá: (a) no acceder, usar, divulgar o procesar dicho material, excepto en la medida estrictamente necesaria para prestar los Servicios; (b) mantener controles de acceso y registros de acceso; (c) no divulgarlo a ningún tercero sin el consentimiento previo por escrito del Cliente; y (d) notificar al Cliente inmediatamente ante cualquier divulgación forzosa real o inminente.
El Proveedor de Servicios deberá respaldar el cumplimiento por parte del Cliente de las normas de conducta profesional y los requisitos reglamentarios aplicables al Cliente en las jurisdicciones donde opera.
Las obligaciones de esta Cláusula 12 seguirán vigentes tras la rescisión del Acuerdo Principal mientras el Material Privilegiado permanezca en posesión o bajo el control del Proveedor de Servicios, y durante un mínimo de 7 años después de la rescisión.
Inteligencia artificial y procesamiento automatizado
El Proveedor de Servicios no podrá utilizar los Datos del Cliente para entrenar, ajustar o mejorar ningún modelo de IA o aprendizaje automático sin el consentimiento previo por escrito del Cliente. Para mayor claridad, esta prohibición no se aplica a los Datos Anonimizados que no puedan utilizarse razonablemente para identificar a ninguna persona. Esta prohibición se aplica igualmente a los Comentarios (según se definen en el Acuerdo Principal) y a los Datos del Proveedor de Servicios generados por el uso de la Plataforma por parte del Cliente.
El Proveedor de Servicios podrá utilizar datos de uso agregados, totalmente anonimizados e irreversibles (incluidas métricas de rendimiento del sistema, patrones de utilización de funciones y registros de errores que no contienen Datos Personales y que no permiten identificar a ningún Cliente o Individuo) para mejorar el rendimiento, la fiabilidad y la funcionalidad de los Servicios. Dicho uso no constituye Tratamiento de Datos Personales ni Datos del Cliente, no implica el entrenamiento de ningún modelo de IA o aprendizaje automático con Datos del Cliente y no está sujeto a las restricciones de la Cláusula 13.1. El Cliente podrá solicitar en cualquier momento una confirmación por escrito de que sus Datos del Cliente y Datos Personales no se han utilizado para el entrenamiento de modelos.
El Proveedor de Servicios deberá, previa solicitud y al menos anualmente, revelar la identidad y la versión de cualquier modelo de IA que procese Datos Personales, confirmar si se han utilizado Datos del Cliente para el entrenamiento y proporcionar información sobre cualquier toma de decisiones automatizada que tenga efectos significativos en las Personas.
El proveedor de servicios deberá mantener un registro de IA y ponerlo a disposición del cliente que lo solicite.
Devolución y eliminación
Tras la rescisión o expiración del Contrato Principal, el Proveedor de Servicios deberá:
(a) durante 30 días después de la terminación o vencimiento, poner los Datos del Cliente a disposición para su exportación en formatos estándar de la industria (CSV, JSON, Excel) sin cargo adicional, de acuerdo con los mecanismos de exportación establecidos en el Acuerdo Principal;
(b) tras la expiración del plazo de exportación de 30 días, eliminar de forma segura todos los Datos del Cliente, incluidas todas las copias en poder de los Subprocesadores y todas las copias de seguridad aplicables, sobrescribiendo o haciendo que los datos sean permanentemente inaccesibles, a menos que: (i) el Cliente acuerde lo contrario por escrito; (ii) la retención sea necesaria para resolver litigios activos o procedimientos regulatorios; o (iii) la ley aplicable requiera una retención adicional, en cuyo caso el Proveedor de Servicios deberá: (A) notificar al Cliente por escrito con antelación su intención de retener dichos datos y la base legal para hacerlo; (B) retener solo los datos mínimos necesarios durante el período mínimo requerido por la ley; y (C) aplicar las mismas medidas de protección a los datos retenidos que se aplican durante el Plazo;
(c) proporcionar proactivamente al Cliente una certificación escrita de eliminación, incluida la confirmación de que las copias y copias de seguridad del Subprocesador han sido eliminadas, dentro de los 30 días posteriores a la finalización, y adicionalmente a solicitud escrita del Cliente en cualquier momento;
d) a solicitud por escrito del Cliente, proporcionar evidencia razonable de la metodología de eliminación aplicada.
El Proveedor de Servicios deberá procesar las solicitudes verificables de eliminación de datos individuales dentro del plazo requerido por la Ley de Protección de Datos aplicable, aplicando el estándar aplicable más exigente y en ningún caso excediendo los 45 días.
Las obligaciones de esta Cláusula 14 seguirán vigentes tras la rescisión del Acuerdo Principal hasta su finalización y certificación de eliminación.
Plazo y rescisión
Este Acuerdo de Procesamiento Diferido (APD) entra en vigor en la fecha en que entra en vigor el Acuerdo Principal y tiene la misma vigencia que este.
Las siguientes obligaciones sobreviven a la terminación: Cláusula 4 (Confidencialidad) — 5 años; Cláusula 9 (Notificación de Incumplimiento) — 7 años; Cláusula 12 (Privilegio) — mientras el Material Privilegiado permanezca en posesión o control del Proveedor de Servicios, y por un mínimo de 7 años después de la terminación; Cláusula 14 (Eliminación) — hasta su finalización y certificación.
Cualquiera de las partes podrá rescindir este Acuerdo de Procesamiento de Datos por incumplimiento sustancial de la otra parte mediante notificación por escrito con 30 días de antelación, y en caso de que la otra parte no subsane el incumplimiento dentro de ese plazo cuando este sea subsanable.
General
Limitación de responsabilidad. (a) La responsabilidad total del Proveedor de servicios en virtud del presente Acuerdo de Protección de Datos (incluida cualquier violación de datos personales) no excederá el límite de responsabilidad establecido en el Acuerdo Principal. (b) Este límite se aplica independientemente de si la reclamación se presenta por incumplimiento de contrato, responsabilidad extracontractual (incluida la negligencia), por ley o de otro modo, e incluye (no se suma a) cualquier responsabilidad derivada del Acuerdo Principal. (c) Cuando una autoridad de control, un particular u otro tercero presente una reclamación contra cualquiera de las partes en relación con el tratamiento de datos personales en virtud del presente Acuerdo de Protección de Datos, las partes cooperarán de buena fe y cada parte asumirá la responsabilidad atribuible a sus propios actos u omisiones. Nada de lo dispuesto en esta Cláusula 16.1 excluye ni limita la responsabilidad que no pueda excluirse ni limitarse en virtud de la legislación aplicable en materia de protección de datos.
El Proveedor de Servicios deberá mantener un seguro de responsabilidad cibernética y de protección de datos por importes comercialmente razonables durante toda la vigencia del Contrato Principal y deberá proporcionar al Cliente, previa solicitud por escrito, una prueba de dicha cobertura.
Ley aplicable y jurisdicción. Este Acuerdo de Protección de Datos (APD) se rige por la misma ley que el Acuerdo Principal. En caso de que el Acuerdo Principal no especifique una ley aplicable, este APD se regirá por las leyes del Estado de Nueva York, sin tener en cuenta sus normas sobre conflicto de leyes. Las partes se someten a la jurisdicción no exclusiva de los tribunales del Estado de Nueva York. Nada de lo dispuesto en esta cláusula afecta a los derechos u obligaciones de las partes en virtud de la legislación aplicable en materia de protección de datos en cualquier otra jurisdicción.
Este Acuerdo de Protección de Datos, junto con sus Anexos, constituye el acuerdo completo entre las partes en relación con el tratamiento de Datos Personales en virtud del Acuerdo Principal y sustituye a todos los acuerdos anteriores sobre la misma materia.
Todas las notificaciones en virtud del presente Acuerdo de Protección de Datos deberán realizarse por escrito y enviarse a los datos de contacto especificados en el Acuerdo Principal o, en lo que respecta a la protección de datos, a support@Perspectis.AI.
Términos estándar y enmiendas. (a) Este Acuerdo de Protección de Datos (APD) es el acuerdo estándar de procesamiento de datos del Proveedor de Servicios, publicado en su sitio web e incorporado por referencia al Acuerdo Principal. (b) El Proveedor de Servicios puede actualizar este APD periódicamente publicando una versión revisada en su sitio web, con al menos 30 días de aviso previo al Cliente por correo electrónico o notificación en el producto. (c) La versión revisada entrará en vigor al final del período de aviso, a menos que el Cliente notifique al Proveedor de Servicios una objeción sustancial por escrito dentro de ese período. (d) Si el Cliente presenta una objeción y las partes no pueden resolverla dentro de los 14 días siguientes, cualquiera de las partes podrá rescindir los Servicios afectados con un preaviso razonable sin penalización. (e) El Proveedor de Servicios podrá realizar modificaciones sin previo aviso cuando así lo exijan los cambios en la Ley de Protección de Datos Aplicable, las directrices de la autoridad de supervisión o una orden judicial, siempre que dichas modificaciones no reduzcan sustancialmente las protecciones del Cliente en virtud de este APD. (f) Las modificaciones específicas para el cliente de este DPA solo serán vinculantes si están firmadas por escrito por un director o un firmante autorizado del Proveedor de Servicios y se indica expresamente que sustituyen la disposición pertinente de este DPA.
Descripción del tratamiento estándar. (a) La descripción del tratamiento estándar del Anexo 1 refleja las actividades de tratamiento estándar de la plataforma del Proveedor de servicios llevadas a cabo para la prestación de los Servicios. (b) Cuando las actividades de tratamiento específicas del Cliente difieran sustancialmente de dicha descripción, las partes deberán dejar constancia de las diferencias en el Formulario de pedido o en un anexo escrito al presente Acuerdo de Protección de Datos. (c) El Cliente es responsable de mantener sus propios registros de las actividades de tratamiento (incluidos los registros exigidos en virtud del artículo 30 del RGPD del Reino Unido/UE y los requisitos equivalentes de otras leyes de protección de datos aplicables) en su calidad de Responsable del tratamiento.
ANEXO 1
Descripción de las actividades de procesamiento
Esta descripción estándar del tratamiento refleja las actividades de tratamiento que realiza el proveedor de servicios al prestar los servicios. Las variaciones específicas del cliente, cuando corresponda, se registran en el formulario de pedido pertinente.
A. Tema
Prestación de servicios de tecnología jurídica basados en SaaS, que incluyen el seguimiento autónomo del tiempo, la gestión de casos, la revisión de documentos asistida por IA, la facturación compatible con LEDES y servicios relacionados, tal como se describe en el Acuerdo Principal y los Formularios de Pedido aplicables.
B. Duración
Durante la vigencia del Acuerdo Principal y cualquier Formulario de Pedido o Declaración de Trabajo aplicable, más cualquier período de retención legalmente requerido.
C. Naturaleza y propósito
Alojamiento, almacenamiento y procesamiento de datos del cliente para la prestación de los servicios; control de acceso y gestión de identidades; análisis e informes para uso interno del cliente; soporte técnico (solo a petición del cliente); procesamiento opcional de IA/LLM si el cliente lo habilita; y supervisión de seguridad y respuesta a incidentes.
D. Categorías de individuos
El personal del Cliente (abogados, asistentes legales, personal administrativo); los clientes y contrapartes del Cliente (en la medida en que estén incluidos en los Datos del Cliente); los usuarios finales de los Servicios; y otras personas cuyos datos personales se envíen a la Plataforma.
E. Categorías de datos personales
Datos de contacto e identificación (nombres, direcciones de correo electrónico, números de teléfono, cargos laborales); datos de uso y acceso (horas de inicio de sesión, uso de funciones, registros de sesión); datos de registro de tiempo y asuntos (incluidas descripciones narrativas del trabajo legal); metadatos de documentos (y, cuando las funciones de IA estén habilitadas, el contenido del documento); datos de facturación; y otros datos personales que el Cliente envíe a la Plataforma de vez en cuando.
F. Categorías sensibles/especiales
El Proveedor de Servicios no procesa intencionalmente Datos Personales Sensibles. En la medida en que los Datos del Cliente contengan incidentalmente dichos datos, se aplicarán las disposiciones de la Cláusula 3.3.
ANEXO 2
Medidas técnicas y organizativas
Estas medidas están diseñadas para cumplir con los requisitos de seguridad de la legislación aplicable en materia de protección de datos, incluyendo el estándar de seguridad razonable (CCPA/CPRA), el artículo 32 (RGPD del Reino Unido/UE) y el principio de salvaguardias (PIPEDA). Se ajustan a los controles CIS y a la norma NIST SP 800-53.
Dominio de control
Medidas implementadas
Control de acceso
Control de acceso basado en roles (RBAC); principio de mínimo privilegio; autenticación multifactor (MFA) aplicada a todas las cuentas privilegiadas; revisiones de acceso periódicas; identificadores de usuario únicos; sin credenciales compartidas; herramientas PAM.
Cifrado — En reposo
AES-256 para todos los datos de clientes almacenados; copias de seguridad cifradas; AWS S3 SSE; claves de cifrado a través de AWS KMS con rotación anual.
Cifrado: en tránsito
TLS 1.2 como mínimo (TLS 1.3 preferido); HTTPS obligatorio; AWS Certificate Manager; HSTS habilitado.
Seguridad de la red
Cortafuegos y WAF; segmentación de red; AIslamiento de VPC; IDS/IPS; mitigación de DDoS; escaneos de puertos y evaluaciones de vulnerabilidades periódicas.
Gestión de vulnerabilidades y parches
Escaneo automatizado de vulnerabilidades; parches críticos/de alta prioridad en un plazo de 30 días; pruebas de penetración anuales realizadas por terceros; seguimiento de los hallazgos hasta su remediación.
Detección y respuesta ante incidentes
Monitorización y alertas SIEM 24/7; plan de respuesta a incidentes documentado; equipo de respuesta designado; simulacros; notificación al cliente en un plazo de 72 horas tras la confirmación de la violación de seguridad.
Continuidad del negocio y copias de seguridad
Copias de seguridad diarias automatizadas; retención de 30 días; almacenamiento georredundante; RTO < 4 horas, RPO < 24 horas para servicios de nivel 1; pruebas de continuidad anuales.
Seguridad física
Infraestructura de producción en centros de datos de AWS con controles físicos certificados según las normas ISO 27001 y SOC 2 Tipo II (vigilancia 24/7, circuito cerrado de televisión, acceso biométrico, controles ambientales).
Seguridad del personal
Verificación de antecedentes previa al empleo; acuerdos de confidencialidad; capacitación anual obligatoria en protección de datos; revocación del acceso dentro de las 24 horas posteriores a la salida.
Gestión de proveedores
Diligencia debida antes de la contratación; las obligaciones contractuales de protección de datos se transmitieron a todos los subprocesadores; revisión anual de la postura de seguridad.
Programa de privacidad
Responsable de privacidad designado; programa de gestión de la privacidad; privacidad por defecto implementada en la plataforma.
Certificaciones
El proveedor de servicios está implementando un programa de gestión de seguridad de la información conforme a los principios de la norma ISO/IEC 27001. El proveedor de servicios tiene previsto obtener la certificación SOC 2 Tipo II e informará al cliente cuando la consiga. Los informes de evaluación de seguridad de terceros están disponibles previa solicitud por escrito, sujetos a un acuerdo de confidencialidad.
Minimización y retención de datos
Recopilación limitada a lo estrictamente necesario; eliminación automática en un plazo de 30 días desde la exportación; configuración de retención configurable en la plataforma.
ANEXO 3
Subprocesadores aprobados
Los siguientes subencargados del tratamiento están aprobados a la fecha de entrada en vigor del Acuerdo Principal y figuran en la Lista de Subencargados del tratamiento del sitio web del Proveedor de Servicios. El Proveedor de Servicios garantizará que cada uno de ellos esté sujeto a obligaciones de protección de datos equivalentes a las del presente Acuerdo de Protección de Datos. Los clientes pueden suscribirse a las notificaciones de actualización de subencargados del tratamiento enviando un correo electrónico a dataprivacy@Perspectis.AI.
Subprocesador
Servicio / Propósito
Ubicación(es) de procesamiento
Salvaguardia
Servicios web de Amazon (AWS)
Alojamiento principal en la nube, almacenamiento, computación, base de datos
Canadá (ca-central-1) — predeterminado; Reino Unido (eu-west-2); EE. UU. (us-east-1) si está habilitado.
AWS DPA; ISO 27001, SOC 2 Tipo II; SCC / Acuerdo de transferencia IDTA del Reino Unido / PIPEDA, según corresponda.
OpenAI, LLC.
Procesamiento de IA/LLM (opcional; desactivado por defecto)
Estados Unidos
No se requiere capacitación modelo sobre datos de clientes; se aplican las Cláusulas Contractuales Estándar (CCE) / Acuerdo IDTA del Reino Unido / Acuerdo PIPEDA.
Microsoft Azure (Azure OpenAI)
IA empresarial / LLM — opción de residencia
Canadá, Reino Unido o UE (configurable)
Microsoft DPA; ISO 27001 / SOC 2; residencia seleccionable en el formulario de pedido.
Microsoft Azure (Servicios de voz)
Transcripción de voz/discurso (opcional)
Configurable (preferiblemente para Canadá, Reino Unido o Estados Unidos)
Microsoft DPA; habilitado solo si el cliente activa la función.
Confidencialidad Legal (si está habilitada)
Procesamiento de pagos para integraciones de facturación
Canadá / Estados Unidos
Cumple con la norma PCI-DSS; se utiliza únicamente si la integración de pagos está habilitada.

